• Français -fr 

vie privée

« Le Cybersexisme ». Interview LCI. 28/09/2016

voir le reportage

Pokémon Go : quelques craintes liées au respect de la vie privée des joueurs

Le jeu Pokémon Go est sorti le 24 juillet 2016 officiellement en France, après avoir fait la preuve de son succès dans de nombreux autres pays.

Rappelons qu’il s’agit d’un jeu en réalité augmentée pour Smartphones, offrant aux joueurs la possibilité de capturer et de dresser des Pokémons.

Le joueur se déplace « in real life » et évolue sur la carte virtuelle sur laquelle se trouvent les Pokémons, grâce au capteur GPS de son Smartphone.

Le jeu a été développé conjointement par Nintendo et Niantic, ancienne filiale de Google qui s’était fait connaître par le jeu Ingress.

Le jeu est déjà promis à un bel avenir et suscite un engouement public en France.

Néanmoins, il soulève certaines problématiques touchant au droit des données à caractère personnel, qu’il nous appartient ici de relever.

Rappelons tout d’abord que la France s’est dotée, à la fin des années 70, d’une loi relative à l’Informatique, aux Fichiers et aux Libertés , justifiée par l’idée selon laquelle, si l’informatique doit être au service de chaque citoyen, son développement ne doit, toutefois, porter atteinte ni à l’identité humaine, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques .

L’adoption, le 14 avril 2016, au niveau européen, d’un cadre juridique commun, est venu compléter l’arsenal juridique destiné à assurer la protection des individus en la matière .

L’utilisation du jeu est permise soit par la création d’un profil sur l’application dédiée, soit via un compte Google.

Cette dernière possibilité n’a pas manqué de faire émerger des craintes quant à l’accès des éditeurs du jeu aux données associées auxdits comptes Google, dès lors que le jeu dispose, en effet, ce faisant, d’un accès complet au compte Google de l’utilisateur (messagerie, agenda, contacts, etc) .

Il semble néanmoins, s’agissant de cette première problématique, que des modifications aient été apportées par Nintendo à la suite des critiques qui lui avaient été faites à cet égard, limitant désormais l’accès aux seuls adresse de courrier électronique et nom d’utilisateur du joueur.

Le principe même du jeu repose sur la géolocalisation du joueur, qui lui permet d’évoluer dans la carte virtuelle et de capturer les Pokémons.

A cet égard, l’éditeur du jeu se réserve expressément la possibilité d’adresser aux joueurs, de la publicité ciblée en fonction de l’endroit où le joueur se trouve.

La problématique liée au transfert des données des joueurs vers les serveurs de Nintendo situés aux Etats-Unis doit également être mentionnée .

En effet, les Etats-Unis ne sont pas considérés par les autorités européennes de protection des données à caractère personnel comme assurant un niveau de protection suffisant de la vie privée.

S’il existait, par le biais du Safe Harbor, géré par le US Départment of Commerce, un cadre juridique permettant aux entreprises de transférer des données vers les Etats-Unis, il convient de rappeler que celui-ci a été invalidé récemment par la Cour de Justice de l’Union Européenne et ne permet plus un transfert légal outre Atlantique.

Or, dans sa Politique de confidentialité du jeu Pokémon Go datée du 19 avril 2016, Nintendo continue à se référer au Safe Harbor…

Il y a, par conséquent, lieu de s’inquiéter de la légalité du transfert ainsi opéré.

La fonctionnalité autorisant Nintendo à diffuser, sur les réseaux sociaux, les photographies prises par les joueurs sans les en informer, lorsque celles-ci contiennent certains mots-clés, mérite également d’être relevée .

Le concept de « Privacy by Design » encouragé par le Règlement Européen précité, semble bien loin des préoccupations de Nintendo qui permet seulement aux joueurs confrontés à ce type de diffusion de paramétrer, a posteriori, son profil ou de retirer la photo du site concerné.

Dans l’ensemble, Nintendo collecte sur les joueurs un nombre important d’informations telles que la date de naissance, le sexe, le pays de résidence, les hobbies ou encore les jeux et jouets préférés, ce qui doit appeler à la plus grande prudence, s’agissant notamment des utilisateurs mineurs.

Par ailleurs, au-delà du seul droit des données à caractère personnel, le jeu Pokémon Go est également susceptible de soulever certaines interrogations liées au droit de la consommation.

A titre d’illustration, les achats intégrés à l’application, pour lesquels tout droit de rétractation tel que prévu par le Code français de la consommation est exclu, peut légitimement soulever des craintes dans le cadre de l’utilisation du jeu par des mineurs, notamment.

Dans la mesure où la localisation des utilisateurs peut être accessible à l’ensemble de la communauté, d’autres problématiques sont susceptibles d’émerger, en lien avec la criminalité de droit commun (cambriolages, agressions, etc) ou le terrorisme (rassemblement massif d’individu aux mêmes endroits).

Dernière précaution, communiquée cette fois-ci par la Gendarmerie Nationale, en direction des automobilistes et piétons, destinée à les enjoindre à la prudence dans le cadre de l’utilisation du jeu, nécessitant une attention constante portée à l’écran du Smartphone des joueurs .

« Données personnelles. Traitement de des données statistiques: un régime dérogatoire ». Expertises. Mai 2016

Lire l’article

Un journaliste fait face à des poursuites pénales pour les photos prises d’une victime des attentats à Paris

Interview de Blandine Poidevin par Amar TOOR du magazine « The Verge »

Lire l’article

Conférences

J’ai le plaisir de participer à la rencontre organisée par Lille’s Events, le 26 avril à 8h30 au Flore, place Rihour à Lille.

J’interviendrai sur le thème de la gestion des données personnelles clients et leur valorisation par les entreprises.

Mort numérique: le législateur fait la lumière

Le développement de la vie numérique pose, de manière logique, de nouvelles problématiques liées à l’appréhension, par le Droit, de la mort numérique.

 Ainsi, de plus en plus de personnes sont confrontées, lors du décès d’un proche, aux questions liées au devenir du profil du défunt sur les réseaux sociaux, sur le sort des actifs numériques (photos, livre électronique, musique numérique, etc) de ce dernier ou encore au souhait d’accéder aux données numériques de leur proche.

Le projet de règlement européen relatif à la protection des données personnelles[1] n’aborde délibérément pas cette question puisqu’il exclut les personnes décédées de son champ d’application.

Face à ce vide juridique, le législateur s’est emparé de la question par le biais du projet de loi pour une République Numérique en cours d’examen au Parlement[2].

L’approche retenue par le projet de loi vise essentiellement à faciliter l’expression des volontés du défunt, l’action de ses ayants-droits dans le respect desdites volontés, mais également, en l’absence de directives, la possibilité pour les héritiers d’exercer les droits du défunt après son décès.

Dans l’attente de l’adoption définitive du projet de loi précité, les seules possibilités laissées aux personnes pour organiser de leur vivant le devenir de leurs données après leur mort, restent dépendantes de la bonne volonté des fournisseurs de service de communication au public en ligne gérant les comptes concernés.

Ainsi, depuis 2013, Google propose une fonctionnalité de « gestion de compte inactif » permettant à toute personne possédant un compte Google (Gmail, YouTube, etc) de définir un délai d’expiration à partir duquel le compte devra être considéré comme inactif.

Le service permet également d’autoriser, par avance, le partage de tout ou partie de ses données avec des personnes de confiance ou de mettre en place une réponse automatique par courrier électronique dès la date ainsi déterminée, avant suppression définitive des données.

Le projet de loi propose de permettre à toute personne, sans dépendre d’un opérateur et de ses pratiques particulières, de formuler des directives (générales ou particulières) concernant le devenir de ses données personnelles à son décès.

Ces directives générales devront être enregistrées auprès d’un tiers de confiance numérique, certifié par la CNIL, tandis que les directives particulières seront enregistrées auprès des responsables de traitement eux-mêmes.

Elles pourront inclure la désignation d’une personne chargée de leur exécution. A défaut, c’est classiquement les descendants puis le conjoint, dans cet ordre, qui pourront prendre connaissance des directives et demander leur mise en œuvre.

Il appartient, par conséquent, au responsable de traitement de créer une procédure nouvelle permettant de recueillir les directives particulières des personnes et de communiquer les données du défunt à la personne que celui-ci aura désignée le cas échéant.

Il sera également de leur responsabilité d’informer l’utilisateur du sort de ses données et de lui permettre de choisir de communiquer ou non ses données à un tiers qu’il aura préalablement désigné.

En l’absence de directives formulées de son vivant par la personne concernée, les héritiers pourront avoir accès aux données lorsque celles-ci sont nécessaires à la liquidation et au partage de la succession.

Cette disposition est assez similaire à la faculté réservée par l’article L1110-4 du Code de la santé publique, laisser le droit aux ayants-droits d’une personne décédée d’avoir accès, nonobstant le secret médical, aux informations permettant de connaitre les causes de la mort, de défendre la mémoire du défunt ou de faire valoir leurs droits, sauf volonté contraire exprimée par la personne avant son décès.

Néanmoins, en vertu du droit au respect de la vie privée incluant le droit au secret des correspondances et le droit à l’image de la personne décédée, les héritiers ne disposeront pas automatiquement d’un accès aux données du défunt.

D’autres dispositions sont envisagées afin de traiter le cas des comptes devenus inactifs.

Si certains textes existent déjà, notamment pour les comptes bancaires inactifs et les contrats d’assurance-vie en déserrance, rien de tel n’était prévu pour ce qui concerne les actifs numériques.

Complétant l’article 40 de la loi Informatique et Libertés permettant aux héritiers d’une personne décédée de demander l’actualisation des données afin de prendre en compte le décès, le projet de loi assurerait désormais aux héritiers la possibilité d’aller jusqu’à une demande de clôture du compte, sans frais.

 


[1] Proposition de règlement du Parlement Européen et du Conseil relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données en date du 25 janvier 2012 n°2012/0011 (COD)

[2] Projet de loi pour une République Numérique n°3318 déposé à la Présidente de l’Assemblée Nationale le 9  décembre 2015

Atteintes au droit à l’image : quelle juridiction saisir?

Une très célèbre comédienne française, détentrice d’un Oscar et d’un César, avait été photographiée par un titre belge seins nus sur un tournage. Se fondant, légitimement, sur l’atteinte portée à son image en vertu de l’article 9 du Code civil, elle avait attrait devant le tribunal de grande instance de Nanterre, réputé pour sa générosité en matière d’indemnisation des atteintes aux droits de la personnalité, l’éditeur de presse concerné.

Ce dernier a soulevé l’incompétence de la juridiction française.

Petit rappel des règles applicables en la matière :

L’article 5 du règlement (CE) n° 44/2001 du 22 décembre 2000 concernant la compétence judiciaire, la reconnaissance et l’exécution des décisions en matière civile et commerciale, prévoit qu’en cas d’atteinte alléguée aux droits de la personnalité au moyen de contenus mis en ligne sur un site Internet, la personne qui s’estime lésée a la faculté de saisir d’une action en responsabilité, au titre de l’intégralité du dommage causé, soit les juridictions de l’État membre du lieu d’établissement de l’émetteur de ces contenus, soit les juridictions de l’État membre dans lequel se trouve le centre de ses intérêts.

En droit français, l’article 42 du Code de procédure civile dispose quant à lui que :

« La juridiction territorialement compétente est, sauf disposition contraire, celle du lieu où demeure le défendeur (…). Si le défendeur n’a ni domicile ni résidence connus, le demandeur peut saisir la juridiction du lieu où il demeure ou celle de son choix s’il demeure à l’étranger. »

L’éditeur belge soutenait qu’en vertu de l’article 2 du Règlement n° 44/2001 précité, la compétence du domicile du défendeur est le principe fondateur dans le droit de l’Union européenne et que les dérogations envisagées ne constituent que des exceptions d’application restrictive. L’actrice, ne demeurant en outre pas en France mais en Belgique, devait se tourner vers son juge naturel, le juge belge. Il considérait que la seule accessibilité de son site Internet en France et le fait qu’elle soit un organe de presse francophone étaient insuffisants pour retenir la compétence des juridictions françaises et que, par ailleurs, la comédienne ne démontrait pas l’existence d’un lien suffisant substantiel ou significatif avec le territoire français. En toute hypothèse, le titre belge estimait qu’ayant omis de démontrer que le centre de ses intérêts était précisément à Nanterre, Marion C. devait être déclarée irrecevable dans son action à défaut de compétence du juge saisi.

 

Rappelons que, depuis l’arrêt Martinez (CJUE, 25 octobre 2011, C-509/09 et C-161/10) rendu par la CJUE,  l’article 5.3 du Règlement de Bruxelles doit être interprété en ce sens qu’en cas d’atteinte alléguée aux droits de la personnalité au moyen de contenus mis en ligne sur un site Internet, la personne qui s’estime lésée a la faculté de saisir d’une action en responsabilité, au titre de l’intégralité du dommage causé, soit les juridictions de l’État membre du lieu d’établissement de l’émetteur de ces contenus, soit les juridictions de l’État membre dans lequel se trouve le centre de ses intérêts, que cette personne peut également, en lieu et place d’une action en responsabilité au titre de l’intégralité du dommage causé, introduire son action devant les juridictions de chaque État membre sur le territoire duquel un contenu mis en ligne est accessible ou l’a été et que celles-ci sont compétentes pour connaître du seul dommage causé sur le territoire de l’État membre de la juridiction saisie.

De même, dans son arrêt Pez Hejduk/EnergieAgentur (22 janvier 2015, C-441/13), la CJUE a également dit pour droit que le même article “doit être interprété en ce sens que, en cas d’atteinte alléguée aux droits d’auteur et aux droits voisins du droit d’auteur garanti par l’État membre de la juridiction saisie, celle-ci est compétente, au titre du lieu de matérialisation du dommage, pour connaître d’une action en responsabilité pour l’atteinte à ces droits du fait de la mise en ligne de photographies protégées sur un site Internet accessible dans son ressort. Cette juridiction n’est compétente que pour connaître du seul dommage causé sur le territoire de l’État membre dont elle relève”.

En vertu de ce qui précède, la demanderesse, actrice française née en France où elle travaille et réside avec sa famille, devait être considérée comme ayant le centre de ses intérêts en France, ce qui l’autorisait à saisir le juge français (Cour d’appel de Versailles, 21 janvier 2016).

.